افزایش دستگاه‌های آلوده به استخراج ارز دیجیتال در ایران

مرکز ماهر آمار جدیدی از آلودگی روترهای میکروتیک به استخراج رمز و همچنین راه‌هایی برای پاک‌سازی روترهای آلوده منتشر کرده است.

مدتی پیش مرکز ماهر گزارشی را منتشر کرده و تهران در آن، یکی از آلوده‌ترین شهرها به بدافزار استخراج ارز معرفی شده بود. گزارش جدید منتشرشده از سوی این مرکز نشان می‌دهد سوءاستفاده‌ی مهاجمین از روترهای میکروتیک ادامه دارد.


به گزارش مرکز ماهر، تجهیزات ارتباطی شرکت میکروتیک، به‌خصوص روترهای تولیدشده توسط این شرکت در حجم بالا در ایران و معمولا در شبکه‌های کوچک و متوسط مورد استفاده قرار می‌گیرد. از ابتدای سال چندین مورد آسیب‌پذیری حیاتی در مورد این تجهیزات شناسایی و منتشر شده است. آسیب‌پذیری‌ها به اندازه‌ای جدی است که امکان دسترسی کامل مهاجم به تجهیزات، شناسایی رمز عبور و دسترسی به محتوای ترافیک عبوری از روتر را فراهم می‌کند.

دسترسی به ترافیک عبوری، مخاطرات جدی در پی دارد و امکان شنود و بررسی ترافیک شبکه‌ی قربانی را روی پروتکل‌های FTP ،SMTP ،HTTP ،SMB و… فراهم می‌کند که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان جمع‌آوری تمامی رمزهای عبور که به‌صورت متن آشکار در حال تبادل در شبکه‌ی قربانی است را به‌دست می‌آورد.

آمار منتشرشده از سوی مرکز ماهر نشان می‌دهد در تاریخ ۱۰ مرداد ۱۳۹۷ تعداد دستگاه‌های فعال میکروتیک ۶۹،۸۰۵ عدد بوده است؛ تعداد دستگاه‌های آلوده در تاریخ ۱۴ مرداد ۱۳۹۷ به ۱۶/۱۱۴ عدد رسیده که تمامی ‌آن‌ها در معرض نفوذ قرار داشتند. مرکز ماهر با اطلاع‌رسانی مکرر و تأکید درباره‌ی ضرورت بروزرسانی و اقدامات لازم مانند قطع ارتباط از خارج کشور به دستگاه­‌های داخل کشور شامل پورت ۸۲۹۱ (winbox) توانسته است تا حدی مانع افزایش تعداد قربانیان شود.

با این وجود به‌دلیل عدم همکاری استفاده‌کنندگان از این تجهیزات به‌ویژه شرکت‌های خدمات اینترنتی که مالک یا بهره‌بردار بخش عمده‌ی این تجهیزات هستند، تعداد زیادی از روترهای فعال در کشو بروزرسانی نشده‌اند و همچنان آسیب‌پذیر هستند. همچنین بررسی دقیق‌تر این تجهیزات نشان داده است که هر کدام به دفعات مورد نفوذ مهاجمین قرار گرفته‌اند.

در حملات اخیر که CryptoJacking نام دارد، مهاجمین به تجهیزات آسیب‌پذیر میکروتیک کدهای ارزکاوی تزریق کرده و با سوءاستفاده از ظرفیت پردازشی کاربران عبورکننده از این روترها هنگام مرور وب، بهره‌برداری می‌کنند.

به گزارش مرکز ماهر بیش از ۱۷/۴۵۲ دستگاه آلوده در کشور به ارزکاو مشاهده شده است و ایران پس از کشورهای برزیل، هند و اندونزی در رتبه‌ی چهارم روترهای آلوده به استخراج رمز ارز قرار دارد. بررسی کارشناسان مرکز ماهر نشان می‌دهد منشأ حملات به این تعداد دستگاه حداکثر از سوی ۲۴ مهاجم صورت گرفته است. نکته‌ی قابل توجه این است که تعدادی از قربانیان نفوذ پیشین و سرقت رمز عبور و اخذ دسترسی بعد از به‌روزرسانی firmware هنوز هم تحت کنترل مهاجمین هستند.

شرکت‌های بزرگ و کوچک ارائه‌ی خدمات اینترنت و شماری از سازمان‌ها و دستگاه‌های دولتی از جمله قربانیان این حمله هستند.

دستورالعمل پاک‌سازی دستگاه‌های آلوده

برای اطمینان از رفع آلودگی احتمالی و جلوگیری از حملات مجدد، بهتر است مراحل زیر انجام شود:

۱- قطع ارتباط روتر از شبکه

۲- بازگردانی به تنظیمات کارخانه‌ای (Factory reset)

۳- بروزرسانی firmware به آخرین نسخه‌ی منتشرشده توسط شرکت میکروتیک

۴- تنظیم مجدد روتر

۵- غیرفعال کردن دسترسی به پورت‌های مدیریتی (web ،winbox ،SSH ،telnet) از خارج شبکه. دسترسی مدیریتی باید از شبکه‌ی داخلی صورت بگیرد و در صورت لزوم برقراری از خارج از شبکه باید از طریق ارتباط VPN انجام شود.

۶- تغییر رمز عبور در روتر و سایر سیستم‌های تحت کنترل به‌دلیل احتمال بالای نشت آن

مراحل ذکرشده از سوی مرکز ماهر توصیه شده‌اند اما چنانچه راه‌اندازی و تنظیم به این روش امکان‌پذیر نباشد، می‌توان این کار را از طریق مراحل زیر انجام داد:

۱- اعمال آخرین بروزرسانی دستگاه‌های میکروتیک

۲- بررسی گروه‌های کاربری و حساب‌های دسترسی

۳- تغییر رمز عبور حساب‌های موجود و حذف نام‌های کاربری اضافی و بدون کاربرد

۴- بررسی فایل‌های webproxy/error.html و flash/webproxy/error.html

  • حذف اسکریپت ارزکاوی (coinhive) از فایل
  • حذف هرگونه تگ اسکریپت اضافه فراخوانی‌شده در این فایل‌ها

۵- حذف تمامی Scheduler Task های مشکوک

۶- حذف تمامی اسکریپت‌های مشکوک در مسیر System/Script

۷- حذف تمامی فایل‌های مشکوک در مسیر فایل سیستم و پوشه‌های موجود

۸- بررسی تنظیمات بخش فایروال و حذف Rule های اضافی و مشکوک

۹- اضافه کردن Rule هایی برای اعمال محدودیت دسترسی از شبکه‌های غیرمجاز

۱۰- بررسی جدول NAT و حذف قوانین اضافی و مشکوک

۱۱- غیرفعال کردن دسترسی Web و Telnet

۱۲- محدود کردن دسترسی‌های مجاز به Winbox

۱۳- غیرفعال کردن دسترسی به پورت‌های مدیریتی از خارج شبکه‌ی داخلی

۱۴- بررسی تنظیمات بخش Sniffer و غیرفعال کردن Capture و Streaming در صورت عدم استفاده

۱۵- غیرفعال کردن تنظیمات web proxy در صورت عدم استفاده

۱۶- غیرفعال کردن تنظیمات Socks در صورت عدم استفاده

مرکز ماهر اعلام کرده است فهرست تجهیزات آلوده‌ی شناسایی‌شده به تفکیک شرکت و سازمان مالک به سازمان تنظیم مقررات رادیویی ارسال شده و در صورت عدم اقدام این شرکت‌ها نسبت به پاک‌سازی و رفع آسیب‌پذیری، راهکارهای قانونی از سوی این سازمان اجرا خواهد شد.

نویسنده مقاله : منبع مقاله :
  • 24 فروردین 1398
  • سعید نوروزی
  • 138
مطالب مرتبط :
آموزش راه اندازی Tunneling بین روترهای سیسکو و میکروتیک ۹ راهکار برای افزایش امنیت روتر میکروتیک Packet Sniffing در میکروتیک اتصال میکروتیک به IBSng ارتباط با FTP میکروتیک ارتقا دادن ( Upgrade ) سیستم عامل میکروتیک پیدا کردن مشخصه های اصلی میکروتیک تنظیمات اولیه میکروتیک (تنظیم IP address , DNS , Default Gateway , Time & Date , PPPoE Client , DHCP Client چگونه دو لینک موازی را در میکروتیک با هم تجمیع کنیم چگونه دیتای سوئیچ مخابرات را در روتر میکروتیک خود اضافه کنیم؟ راه اندازی Cache در میکروتیک راه اندازی سرویس SNMP در میکروتیک راه اندازی سرویس SNMP در میکروتیک راهنمای تصویری اضافه کردن گیت وی به میکروتیک راههای عیب یابی عملکرد میکروتیک فعال سازی و تنظیمات IPsec در میکروتیک گام اول : اصول دیواره آتش ( فایروال ) میکروتیک گام دوم : بررسی گزینه های دیواره آتش ( فایروال ) میکروتیک مخفی کردن نمایش میکروتیک در Winbox یا میکروتیک های دیگر مسدود کردن تلگرام در روتر میکروتیک مسدود کردن دانلود بر اساس پسوند فایل در میکروتیک میکروتیک به عنوان فایل سرور میکروتیک به عنوان فایل سرور ‫ هک هزاران روتر میکروتیک و شنود ترافیک شبکه! آموزش ارتقاء(Upgrade) سیستم عامل میکروتیک آموزش تصویری اتصال Usermanager به میکروتیک آموزش تصویری انتقال کاربران به یک آی پی خاص بر روی میکروتیک آموزش تصویری بدست آوردن رنج Ip شبکه در ویندوز آموزش تصویری راه اندازی فایل سرور بر روی میکروتیک آموزش تصویری غیر فعال کردن سرویس های بدون استفاده در میکروتیک آموزش راه اندازی سرویس PPPOE Server میکروتیک بهمراه اکانتیک User Manager و IBSng آموزش کامل کانفیگ میکروتیک آموزش متنی بستن ICMP در میکروتیک آموزش متنی محدود کردن تعداد پینگ ها در میکروتیک آموزش مسدود کردن دسترسی به اینستاگرام توسط فایروال میکروتیک آموزش میکروتیک (نصب router os) و نصب از طریق vmware آموزش میکروتیک ( 1 ) آموزش میکروتیک ( 2 ) اتصال به روتر بورد جهت کانفیگ میکروتیک اتصال به میکروتیک و پیکر بندی آدرس IP اتصال شبکه به اینترنت از طریق میکروتیک ارتقا دادن ( upgrade ) سیستم عامل میکروتیک بررسی و مقایسه رادیوهای سری LHG5 بررسی و مقایسه رادیوهای سری LHG5 بهترین روش شناسایی انواع محصولات روتربورد میکروتیک پورت ناکینگ چیست و چگونه می توان آن را برروی فایروال میکروتیک راه اندازی کرد؟ تکنیک های مختلف فیلترینگ میکروتیک کدام است؟ توصیه های اکید میکروتیک برای حفاظت از روتربوردها در مقابل حملات سایبری چگونه پروتکل VRRP را روی تجهیزات میکروتیک پیکربندی کنیم؟ چگونه میکروتیک را در حالت اکسس پوینت تنظیم نماییم؟ رادیو وایرلس میکروتیک Groove A 52hpnd گرو چیست ؟ راه اندازی DHCP Server در میکروتیک راه اندازی لینک وایرلس - مقدماتی- میکروتیک روش های لود بالانسینگ در میکروتیک شنود ترافیک شبکه‌های ایرانی با هک روترهای میکروتیک کاربرد و کانفیگ اولیه منگل در میکروتیک معرفی میکروتیک معرفی و بررسی روتر میکروتیک hAP lite مدل RB941-2nD معماری شبکه point-to-point FTTH چگونه است؟ مقایسه ی سوئیچ های سیسکو و میکروتیک میکروتیک و نحوه نام گذاری آن نحوه نصب استریسک بروی روتربرد های میکروتیک نحوه ی نصب و پیکربندی وایرلس میکروتیک SXT نصب RouterOS روی Vmware و روتربورد میکروتیک ویژگی بوت دوگانه روتر و سوئیچ در میکروتیک – Mikrotik Dual Boot هر آنچه که بابد در باره لایسنس های میکروتیک بدانید همه چیز در مورد فایروال میکروتیک – قسمت اول همه چیز در مورد فایروال میکروتیک (قسمت دوم)
طراحی سایت : رسانه گستر © 2002 - 2020